teoría-fragmentos: (0.01)
	Nociones de fragmentos necesarias para el filtrado de paquetes


Resumen de contenido:
--------------------
Fragmentos
  BOMBAS FRAGMENTARIAS
  ATAQUES CON FRAGMENTOS
  CONCLUSIONES
    Desfragmentar
    Prohibir fragmentos
    No confiar ciegamente en el cortafuegos
  MAS INFO SOBRE FRAGMENTOS
    El bug del 2.2.10



Fragmentos

    Ahora ya sabemos que los fragmentos se hacen a nivel IP. Esto significa
    que los fragmentos pueden ser de cualquier protocolo (TCP, UDP, ICMP, etc)
    
    Como los fragmentos posteriores al primero no llevan la cabecera del
    protocolo (TCP, UDP, ICMP, etc) solo contienen información de IP
    (IP origen, IP destino, TOS, etc...) y no los puertos que van en la
    cabecera TCP/UDP
    
    Por lo tanto en las reglas de filtrado, en las que se acostumbra a filtrar
    por puertos, no sabremos que hacer con los fragmentos...


  BOMBAS FRAGMENTARIAS

	Hay ciertas combinaciones de fragmentos que dejan bloqueados a algunos
	sistemas operativos (Windows), creo recordar que eso era el Teardrop,
	el Linux es inmune a esto


  ATAQUES CON FRAGMENTOS

	Los kernel 2.2.10 (y anteriores supongo) tienen un bug que permite
	saltarse todas las reglas del cortafuegos y acceder a los servicios
	internos mediante una sofisticada técnica de reescritura de cabeceras
	mediante fragmentos


  CONCLUSIONES

    Desfragmentar
	Instruir al kernel del sistema que usamos como gateway/cortafuegos
	para desfragmentar siempre

    Prohibir fragmentos
	Prohibir todos los fragmentos como PRIMERA regla en el cortafuegos

    No confiar ciegamente en el cortafuegos
	El bug del kernel 2.2.10 debe enseñarnos a no confiar ciegamente en
	el cortafuegos, hay que asegurar la máquina todo lo posible, contando
	con el peor caso posible -una perdida completa de blindaje-


  MAS INFO SOBRE FRAGMENTOS

    El bug del 2.2.10
	El 27/Julio/1999 se envió a BUGTRAQ y puedes leer la descripción en
	ftp://ftp.rustcorp.com/ipchains/ipchains-patch-2.2.desc (en inglés)